扈紅超,陳福才,王禛鵬
國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國(guó) 450002
擬態(tài)防御DHR模型若干問題探討和性能評(píng)估
扈紅超,陳福才,王禛鵬
國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國(guó) 450002
針對(duì)傳統(tǒng)防御技術(shù)難以應(yīng)對(duì)未知特征和未知缺陷的攻擊,近年來,工業(yè)界和學(xué)術(shù)界嘗試發(fā)展能夠“改變游戲規(guī)則”的創(chuàng)新性防御技術(shù)。網(wǎng)絡(luò)空間擬態(tài)防御(CMD: Cyberspace Mimic Defense)以動(dòng)態(tài)異構(gòu)冗余(DHR: Dynamical Heterogeneous Redundant)作為核心架構(gòu)技術(shù)。針對(duì)信息系統(tǒng)保護(hù)的元功能,采用非相似余度設(shè)計(jì)方法構(gòu)造多個(gè)功能等價(jià)的異構(gòu)執(zhí)行體; 在系統(tǒng)運(yùn)行期間,動(dòng)態(tài)調(diào)度元功能的不同異構(gòu)執(zhí)行體在線運(yùn)行,以阻斷攻擊者的攻擊過程; 同時(shí),利用多模判決機(jī)制對(duì)多個(gè)異構(gòu)執(zhí)行體的輸出結(jié)果進(jìn)行判決,以檢測(cè)是否發(fā)生攻擊。本文針對(duì)DHR模型的若干問題進(jìn)行了探討,給出了一種理論分析方法,并進(jìn)行了實(shí)驗(yàn)仿真,理論分析和仿真結(jié)果表明,DHR能夠大幅提升攻擊者攻擊難度,增強(qiáng)信息系統(tǒng)的安全性。
動(dòng)態(tài)異構(gòu)余度; 動(dòng)態(tài)調(diào)度; 異構(gòu)性; 冗余性
網(wǎng)絡(luò)技術(shù)已廣泛滲透到電力、金融、交通等關(guān)鍵基礎(chǔ)設(shè)施[1]。在促進(jìn)人類社會(huì)進(jìn)步的同時(shí),網(wǎng)絡(luò)及信息系統(tǒng)暴露的安全缺陷成為個(gè)人(如黑客)、不法團(tuán)體利用攻擊的對(duì)象,給人類的生產(chǎn)生活帶來極大的安全威脅,網(wǎng)絡(luò)安全已成為世界各國(guó)工業(yè)界和學(xué)術(shù)界共同關(guān)注的熱點(diǎn)問題[2],并開展廣泛研究。然而相對(duì)于網(wǎng)絡(luò)防護(hù)技術(shù)的進(jìn)步,網(wǎng)絡(luò)攻擊呈現(xiàn)愈演愈烈的態(tài)勢(shì),究其原因,主要有以下幾點(diǎn)[2]: 一是網(wǎng)絡(luò)空間組成要素的基因單一性,如采用相同的計(jì)算架構(gòu)、硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議等,攻擊者極易利用挖掘的同一安全缺陷,針對(duì)不同信息系統(tǒng)發(fā)起多次攻擊; 二是網(wǎng)絡(luò)組成要素的靜態(tài)性,如采用靜態(tài)IP地址、靜態(tài)端口、靜態(tài)路由機(jī)制等,攻擊者很容易進(jìn)行探測(cè)和持續(xù)入侵; 三是尚無(wú)找到有效檢測(cè)安全缺陷的科學(xué)方法,致使多年來網(wǎng)絡(luò)防護(hù)一直延循“亡羊補(bǔ)牢”、“吃藥打針”式的技術(shù)發(fā)展脈絡(luò),從以殺毒軟件、防火墻為代表的被動(dòng)式防護(hù),發(fā)展到以入侵檢測(cè)[3]、蜜罐[4]、沙箱[5]、入侵容忍[6]為代表的主動(dòng)式防護(hù)。然而,無(wú)論是被動(dòng)式防護(hù)技術(shù)還是傳統(tǒng)式主動(dòng)防護(hù)技術(shù),皆以發(fā)現(xiàn)攻擊者的攻擊特征(如病毒特征、行為特征)或被攻擊目標(biāo)的安全缺陷為防護(hù)條件,通過配置策略(如防火墻)、規(guī)則(如入侵檢測(cè))或打補(bǔ)丁的方式防護(hù),對(duì)于特征未知或缺陷未知的攻擊行為束手無(wú)策。
針對(duì)這一問題,近年來學(xué)術(shù)界試圖通過創(chuàng)新防御思路,尋求能夠“改變游戲規(guī)則”的防護(hù)技術(shù),其中最具典型代表的是美國(guó)學(xué)術(shù)界提出的“移動(dòng)移動(dòng)目標(biāo)防御(MTD: Moving Target Defense)[2]”。MTD是針對(duì)目前攻防雙方成本的不對(duì)稱性,以及被攻擊目標(biāo)缺乏彈性等問題提出的,其主要思想有兩點(diǎn): 一是在信息系統(tǒng)配置屬性上引入動(dòng)態(tài)性和隨機(jī)性,如采用動(dòng)態(tài) IP[7-10]、動(dòng)態(tài)端口[11]、動(dòng)態(tài)路由[12]、隨機(jī)化執(zhí)行代碼[13]、隨機(jī)化地址空間[14]、隨機(jī)化指令集合[15]和隨機(jī)化數(shù)據(jù)[16]等; 二是提高信息系統(tǒng)要素組成的多樣性,如采用多樣化編譯技術(shù)生成同一軟件的不同版本[17]。移動(dòng)目標(biāo)防御旨在通過引入動(dòng)態(tài)性和多樣性,構(gòu)建一種動(dòng)態(tài)的、多樣的、不確定的運(yùn)行環(huán)境,降低被攻擊對(duì)象的可預(yù)測(cè)性,從而阻斷攻擊者攻擊過程,提高攻擊者的攻擊難度和攻擊成本。然而,移動(dòng)目標(biāo)防御技術(shù)以主動(dòng)變化提高攻擊者攻擊難度為目標(biāo),當(dāng)攻擊者成功入侵系統(tǒng)后,移動(dòng)目標(biāo)防御無(wú)法檢測(cè)。
我們期望,一個(gè)理想的防御系統(tǒng)不僅能夠大幅提高攻擊者的攻擊難度,還應(yīng)能夠?qū)崟r(shí)檢測(cè)出成功入侵的攻擊行為,即,防護(hù)技術(shù)本身兼具內(nèi)生的保護(hù)與檢測(cè)雙重功能。從網(wǎng)絡(luò)空間安全問題的本質(zhì)原因出發(fā),即,1)安全缺陷(漏洞或后門)在信息系統(tǒng)中存在的普遍性; 2)網(wǎng)絡(luò)空間組成要素的單一性和靜態(tài)性導(dǎo)致安全缺陷易于利用; 3)現(xiàn)有技術(shù)手段難以徹底檢測(cè)并消除安全缺陷,鄔江興教授提出了網(wǎng)絡(luò)空間擬態(tài)防御的創(chuàng)新思想。擬態(tài)防御的典型架構(gòu)是動(dòng)態(tài)非相似余度(DHR: Dynamical Heterogeneous Redundant)機(jī)制,DHR 主要思想有三點(diǎn): 異構(gòu)性(Heterogeneous),即,對(duì)信息系統(tǒng)保護(hù)的元功能F進(jìn)行抽象,并采用非相似余度設(shè)計(jì)方法構(gòu)造M個(gè)功能等價(jià)的異構(gòu)執(zhí)行體; 動(dòng)態(tài)性(Dynamical),在系統(tǒng)運(yùn)行期間,從 M 中動(dòng)態(tài)選擇m(隨時(shí)間變化)個(gè)不同的異構(gòu)執(zhí)行體運(yùn)行,隱藏信息系統(tǒng)內(nèi)部的實(shí)現(xiàn)結(jié)構(gòu); 冗余判決(Redundant),采用多模判決機(jī)制對(duì)m個(gè)在線的異構(gòu)執(zhí)行體的輸出結(jié)果進(jìn)行一致性判決,檢測(cè)是否發(fā)生了攻擊行為。DHR具有如下特點(diǎn): 1)通過異構(gòu)執(zhí)行體的動(dòng)態(tài)調(diào)度阻斷攻擊者的攻擊過程,能夠大幅增加攻擊者利用未知安全缺陷的難度; 2)攻擊檢測(cè)和防護(hù)不再依賴于攻擊特征和安全缺陷的先驗(yàn)知識(shí),具有內(nèi)在的威脅檢測(cè)能力; 3)采用DHR能夠基于不安全的構(gòu)件構(gòu)建相對(duì)安全的信息系統(tǒng)。
本文的后續(xù)安排如下: 第二部分對(duì)與本文思路相關(guān)的工作進(jìn)行歸納和總結(jié),主要包括移動(dòng)目標(biāo)防御技術(shù)等; 第三部分從一個(gè)簡(jiǎn)單例子出發(fā)給出擬態(tài)防御的提出動(dòng)機(jī); 第四部分給出動(dòng)態(tài)非相似余度的數(shù)學(xué)模型; 第五部分從理論層面分析其的安全性能;第六部分對(duì)動(dòng)態(tài)非相似余度模型進(jìn)行理論評(píng)估; 第七部分以路由器為對(duì)象研究其實(shí)現(xiàn)案例; 第八部分討論了動(dòng)態(tài)非相似余度局限性; 第九部分為總結(jié),闡述了本文取得的進(jìn)展及進(jìn)一步開展的工作。
本節(jié)對(duì)近年來出現(xiàn)的典型創(chuàng)新性防御技術(shù)“移動(dòng)目標(biāo)防御”的主要思想及研究進(jìn)展,以及與本文思想相關(guān)的機(jī)制如非相似余度、多模判決技術(shù)進(jìn)行簡(jiǎn)要的回顧和總結(jié)。
針對(duì)移動(dòng)目標(biāo)防御的研究工作目前主要集中在建模與性能分析、技術(shù)應(yīng)用等方面。在建模與性能分析方面,文獻(xiàn)[18]提出采用攻擊表面模型刻畫移動(dòng)目標(biāo)防御的有效性,攻擊表面是指攻擊者攻擊時(shí)的可利用系統(tǒng)資源集合,而移動(dòng)目標(biāo)防御正是通過自動(dòng)地改變系統(tǒng)的配置屬性,動(dòng)態(tài)地改變暴露給攻擊者的攻擊表面,使其無(wú)法預(yù)測(cè),從而達(dá)到提高系統(tǒng)的安全性的目的,作者在該文中對(duì)移動(dòng)攻擊表面問題進(jìn)行了形式化建模,并提出一種量化移動(dòng)性的方法,并在安全性與可用性之間進(jìn)行折中,同時(shí)提出一種雙方隨機(jī)博弈模型來確定最優(yōu)的防御策略。Zhuang R.在移動(dòng)目標(biāo)防御理論建模方面做了大量的工作,文獻(xiàn)[19]針對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境,提出一種基于Markov轉(zhuǎn)移概率的移動(dòng)目標(biāo)防御有效性分析模型。針對(duì)目前移動(dòng)目標(biāo)防御研究處于起步階段,包括缺乏標(biāo)準(zhǔn)的定義、攻擊表面的具體含義、度量該類系統(tǒng)有效性的標(biāo)準(zhǔn)和理論模型等,作者嘗試為移動(dòng)目標(biāo)防御建立一套理論框架: 第一步,建立MTD系統(tǒng)的理論,該理論僅關(guān)注系統(tǒng)本身,以及系統(tǒng)如何隨時(shí)間的推移不斷調(diào)整以達(dá)到其整體目標(biāo)[20]; 第二步,建立攻擊者理論,該理論描述攻擊者的目標(biāo),以及達(dá)到目標(biāo)所采取的動(dòng)作[21]; 最后,綜合前兩步成果建立整體的MTD理論,其目的是定義MTD系統(tǒng)理論和攻擊者理論的組成要素之間如何相互交互,該項(xiàng)工作目前還在進(jìn)行之中。另外一類研究思路是采用博弈論來評(píng)估移動(dòng)目標(biāo)防御技術(shù),如文獻(xiàn)[22]采用博弈論方法確定動(dòng)態(tài)平臺(tái)防御的最優(yōu)策略,將攻擊者和防御者之間的交互建模為不完整的“領(lǐng)導(dǎo)-追隨者”兩者博弈。和現(xiàn)有的基于博弈論的研究不同,文獻(xiàn)[23]定義了通用的網(wǎng)絡(luò)防御場(chǎng)景,并利用經(jīng)驗(yàn)博弈論方法,采用系統(tǒng)性的仿真驗(yàn)證攻擊者和防御策略之間的相互作用。[24]采用分級(jí)攻擊表示模型(HARM: Hierarchical Attack Representation Model)評(píng)估移動(dòng)目標(biāo)防御技術(shù)的有效性,并比較了部署移動(dòng)目標(biāo)防御技術(shù)時(shí)攻擊圖和HARM的擴(kuò)展性。文獻(xiàn)[25]從機(jī)密性、完整性和可用性三個(gè)方面對(duì)移動(dòng)目標(biāo)防御技術(shù)進(jìn)行了研究,并探索了在MTD系統(tǒng)中需要在機(jī)密性和可用性之間進(jìn)行折衷。文獻(xiàn)[26]將網(wǎng)絡(luò)傳播動(dòng)力學(xué)(Cyber Epidemic Dynamics)模型理論引入到移動(dòng)目標(biāo)防御的安全性能評(píng)估中,以期取得可量化安全性能指標(biāo)。
移動(dòng)目標(biāo)防御技術(shù)的應(yīng)用可以劃分為三類: 基于終端的、基于網(wǎng)絡(luò)的和基于云的?;诮K端的移動(dòng)目標(biāo)防御技術(shù)又可分為數(shù)據(jù)級(jí)、指令級(jí)、代碼級(jí)、內(nèi)存級(jí)和應(yīng)用級(jí),數(shù)據(jù)級(jí)常見技術(shù)為動(dòng)態(tài)改變數(shù)據(jù)在內(nèi)存中的存儲(chǔ)方式,如基于內(nèi)存對(duì)象類別將數(shù)據(jù)和隨機(jī)掩碼執(zhí)行“異或”運(yùn)算; 指令級(jí)采用指令隨機(jī)化(ISR: Instruction Set Randomization)技術(shù)改變每個(gè)進(jìn)程的指令[27,28],如對(duì)進(jìn)程指令進(jìn)行加密,運(yùn)行時(shí)進(jìn)行解密,以避免攻擊者注入惡意指令; 代碼級(jí)采用的是代碼隨機(jī)化(Code randomization)技術(shù)[31-38],如利用編譯技術(shù)、二進(jìn)制重寫技術(shù)等進(jìn)行代碼隨機(jī)化,防止代碼重用攻擊; 內(nèi)存級(jí)使用的是地址空間布局隨機(jī)化技術(shù)(ASLR : Address Space Layout Randomization)[39,40],如在編譯或運(yùn)行時(shí)隨機(jī)改變程序的內(nèi)存布局,對(duì)抗代碼注入攻擊; 典型的應(yīng)用級(jí)技術(shù)是軟件多樣化[41],即針對(duì)同一功能的構(gòu)建M個(gè)軟件版本;另外一種技術(shù)是組合加密技術(shù)[42,43],該技術(shù)將密鑰切分為多片,避免單一密鑰被竊取或損壞?;诰W(wǎng)絡(luò)的移動(dòng)目標(biāo)防御技術(shù)的一種典型方法是將網(wǎng)絡(luò)設(shè)備的靜態(tài)配置屬性動(dòng)態(tài)化,如文獻(xiàn)[7]提出的MT6D(Moving Target IPv6 Defense)基于IPv6巨大的地址空間,在不影響通信雙方會(huì)話連接的條件下,透明和動(dòng)態(tài)地輪轉(zhuǎn)網(wǎng)絡(luò)和傳輸層的地址,使攻擊者難以鎖定和入侵被攻擊目標(biāo),在提高 IP地址跳變的不可預(yù)測(cè)性、自適應(yīng)性的同時(shí)控制開銷,Jafarian J.H.提出的RHM(Random Host Address Mutation)采用基于地址空間和 IP地址的分層跳變方案[9],在此基礎(chǔ)上,又在文獻(xiàn)[10]中提出了主動(dòng)自適應(yīng)地址跳變技術(shù),該技術(shù)實(shí)時(shí)監(jiān)控攻擊者行為,基于此動(dòng)態(tài)地執(zhí)行地址跳變; 文獻(xiàn)[8]等研究了基于軟件定義網(wǎng)絡(luò)架構(gòu)下的 IP地址和路由的動(dòng)態(tài)集中式控制問題; 另外,文獻(xiàn)[11]和[44]分別提出了基于端口跳變和虛擬網(wǎng)影射跳變的移動(dòng)目標(biāo)防御技術(shù)?;谠频囊苿?dòng)目標(biāo)防御技術(shù)的典型應(yīng)用是利用虛擬機(jī)遷移,解決云資源虛擬化后利用多用戶共存發(fā)起的旁路攻擊[45],另外一種基于“快照、存儲(chǔ)、恢復(fù)”的方法將任務(wù)在多個(gè)虛擬機(jī)之間動(dòng)態(tài)切換執(zhí)行,如文獻(xiàn)[46]提出了基于概率MTD的虛擬機(jī)部署策略。
3.1 控制器威脅啟迪
在軟件定義網(wǎng)絡(luò)中,控制平面生成流表等配置信息,并通過南向接口如Openflow下發(fā)到數(shù)據(jù)平面,數(shù)據(jù)平面依據(jù)控制器下發(fā)的配置對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā)等處理; 另外,控制平面還需要為用戶提供應(yīng)用開發(fā)和部署的北向接口。因此,若惡意交換機(jī)接入到控制器或惡意應(yīng)用部署到控制器上,攻擊者便可以對(duì)控制器進(jìn)行劫持,從而對(duì)SDN網(wǎng)絡(luò)發(fā)起任意攻擊。一種典型的攻擊方式是攻擊者劫持控制器后,操縱流表將特定數(shù)據(jù)流轉(zhuǎn)發(fā)到惡意轉(zhuǎn)發(fā)設(shè)備或者是接收者進(jìn)行竊聽。以圖1為例,正常情況下發(fā)送方Sender的所有數(shù)據(jù)流經(jīng)由交換機(jī)SW1,SW2傳輸給Receiver,若攻擊者Attacker通過控制交換機(jī)SW3劫持了控制器Controller,并在控制器上增加了一條表項(xiàng)*,IP1,IP2,25,Group(Group表結(jié)構(gòu)如圖1所示); Controller將該表項(xiàng)下發(fā)到交換機(jī)SW1; 隨后,SW 1接收到Sender發(fā)送到Receiver的所有端口為25(郵件系統(tǒng)知名端口)的數(shù)據(jù)分組后,首先將分組發(fā)送到SW2,再將分組的目的地址修改為Attacker的目的IP3,并發(fā)送到SW 3。
針對(duì)這些問題,我們嘗試構(gòu)建了圖2所示的擬態(tài)控制器架構(gòu),其主要特點(diǎn)是: 一是異構(gòu)性,和飛機(jī)的飛控系統(tǒng)類似[47,48],采用了多個(gè)(可擴(kuò)展到N個(gè))功能等價(jià)、實(shí)現(xiàn)相異的SDN控制器實(shí)例,如運(yùn)行環(huán)境采用不同操作系統(tǒng)和處理器等; 二是動(dòng)態(tài)性,調(diào)度器動(dòng)態(tài)地從控制平面中選擇 m(1,2,3)個(gè)作為參考依據(jù);三是判決器,判決器將調(diào)度器選擇的SDN的下發(fā)流表作為輸入進(jìn)行判決,并選擇一個(gè)作為可信路由下發(fā)到數(shù)據(jù)平面。通過實(shí)驗(yàn)我們發(fā)現(xiàn)該架構(gòu)有以下優(yōu)點(diǎn): 一是異構(gòu)冗余機(jī)制增加了控制器的可靠性,若一個(gè)控制器在系統(tǒng)運(yùn)行期間發(fā)生故障,其他控制器可以快速切換; 二是提高了攻擊者攻擊難度,由于動(dòng)態(tài)調(diào)度器不斷變換當(dāng)前有效的控制器,攻擊者掌握的后門呈現(xiàn)為線上/線下不斷切換,難以持續(xù)利用;三是即使攻擊者攻擊成功 Ctroller1,由于判決器的存在,被加入的流表通過 Ctroller1下發(fā)時(shí)也可檢測(cè)出來(除非攻擊者在周期T內(nèi)同時(shí)入侵了所有控制器,無(wú)疑這對(duì)攻擊者是極其困難的)。
圖1 控制器劫持示例
3.2 符號(hào)定義
為便于后續(xù)描述,首先給出如表1中的符號(hào)定義。
表1 本文用到的符號(hào)定義
3.3 基本模型
首先考察單個(gè)元功能的擬態(tài)防御理論模型,如圖3所示,主要由四部分組成: 異構(gòu)執(zhí)行體集合F、輸入分發(fā)器R、擬態(tài)變換器X和輸出判決器A組成,詳細(xì)討論如下。
3.3.1 異構(gòu)執(zhí)行體表示元功能F的異構(gòu)執(zhí)行體集合,用“異構(gòu)性”和“多樣性”來刻畫。其中,“異構(gòu)性”是指元功能F存在功能相同、結(jié)構(gòu)相異的多個(gè)實(shí)例,即,對(duì)于任意兩個(gè)實(shí)例,滿足; 對(duì)于正交相異性,滿足。相異性設(shè)計(jì)的理論和方法是學(xué)術(shù)界和產(chǎn)業(yè)界長(zhǎng)期以來關(guān)注的重要課題,最早應(yīng)用于波音和空客民用客機(jī)的飛控系統(tǒng)[47,48]。本文的重點(diǎn)在于如何利用異構(gòu)性提高信息系統(tǒng)安全性,對(duì)相異性設(shè)計(jì)的相關(guān)問題不再贅述,后續(xù)工作會(huì)進(jìn)一步探討,這里僅給出決定信息系統(tǒng)/網(wǎng)絡(luò)異構(gòu)性的幾個(gè)關(guān)鍵屬性: 如處理器(如CPU、FPGA、GPU、DSP等)、操作系統(tǒng)、編譯器、語(yǔ)言、算法、數(shù)據(jù)結(jié)構(gòu)、代碼風(fēng)格、數(shù)據(jù)庫(kù)等。
“多樣性”是指F中異構(gòu)執(zhí)行體的種類數(shù)M,M越大,可選擇的異構(gòu)執(zhí)行體組合越多(理論上為 !M),攻擊者需要探測(cè)的空間越大,攻擊的難度越高。
3.3.2 分發(fā)器
在任意時(shí)刻t,分發(fā)器R將輸入分發(fā)到選擇的m個(gè)執(zhí)行體Φt上,每個(gè)執(zhí)行體的輸入完全一致,獨(dú)立執(zhí)行計(jì)算,對(duì)于功能等價(jià)的異構(gòu)執(zhí)行體,相同輸入必產(chǎn)生相同輸出。
圖3 動(dòng)態(tài)非相似余度模型
圖2 擬態(tài)控制器架構(gòu)
3.3.3 擬態(tài)變換器
擬態(tài)變換器X(為便于描述,擬態(tài)變換器和擬態(tài)變換算法均用X表示)實(shí)現(xiàn)異構(gòu)執(zhí)行體的調(diào)度,同移動(dòng)目標(biāo)防御,擬態(tài)變換具有“動(dòng)態(tài)性”: 在系統(tǒng)變換時(shí),依據(jù)當(dāng)前時(shí)間t、狀態(tài)s和選擇的m個(gè)異構(gòu)執(zhí)行體集合Φt,從F中選取m'個(gè)作為(t,t+T)時(shí)間區(qū)間運(yùn)行的執(zhí)行體,即。此外,為確保判決器判決的準(zhǔn)確性,任意時(shí)刻t運(yùn)行的異構(gòu)執(zhí)行體個(gè)數(shù)滿足:。這樣,在觀察者看來,受保護(hù)元功能的物理實(shí)現(xiàn)結(jié)構(gòu)、算法對(duì)外呈現(xiàn)出不確定性,難以獲得一致、確定性的視圖,不僅攻擊者可利用的漏洞和后門也呈現(xiàn)不確定性,而且攻擊者的攻擊鏈難以保持連續(xù)性和完整性。在具體實(shí)現(xiàn)上,擬態(tài)變換器必須遵循兩個(gè)基本原則: 一是執(zhí)行體切換期間保持系統(tǒng)內(nèi)外部狀態(tài)的一致性; 二是最大化對(duì)外呈現(xiàn)不確定性。下面本文針對(duì)這兩個(gè)問題詳細(xì)討論。
問題1: 異構(gòu)執(zhí)行體動(dòng)態(tài)切換時(shí)狀態(tài)的一致性
執(zhí)行體的狀態(tài)通常包含運(yùn)行狀態(tài)和數(shù)據(jù)兩部分。本文設(shè)計(jì)了圖4所示的框架保證執(zhí)行體切換時(shí)狀態(tài)的一致性。在該框架中,在變換控制器的控制下,變換器可以: 1)接收來自外部的切換指令,實(shí)現(xiàn)按照系統(tǒng)預(yù)先設(shè)定的邏輯進(jìn)行切換; 2)根據(jù)安全態(tài)勢(shì)感知傳感器(如入侵檢測(cè)系統(tǒng))的輸入進(jìn)行切換; 3)根據(jù)判決器的輸入結(jié)果進(jìn)行切換。變換器準(zhǔn)備切換時(shí),首先計(jì)算出下一時(shí)間周期內(nèi)選擇的異構(gòu)執(zhí)行體集合,并調(diào)用執(zhí)行體容器。執(zhí)行體容器向資源控制器申請(qǐng)資源(如虛擬機(jī)、內(nèi)存等)成功后,按照?qǐng)?zhí)行體模板進(jìn)行實(shí)例化,并將執(zhí)行體狀態(tài)池的狀態(tài)數(shù)據(jù)同步到實(shí)例化的執(zhí)行體,待準(zhǔn)備就緒后,變換器向切換管理器請(qǐng)求切換。切換管理器首先將執(zhí)行體加入到運(yùn)行集合中,即并作為判決器的輸入; 其次,將分發(fā)器的數(shù)據(jù)從轉(zhuǎn)移到上; 最后將從運(yùn)行集合中移出,并更改判決器判決集合,同時(shí)釋放執(zhí)行體資源。
圖4 異構(gòu)執(zhí)行體切換示意圖
問題2: 如何最大化對(duì)外呈現(xiàn)不確定性
從信息論角度來看,信源對(duì)外呈現(xiàn)的不確定大小或隨機(jī)性可以用信息熵描述[50]。若將變換器看作離散信源、異構(gòu)執(zhí)行體選擇狀態(tài)看作事件的話,則變換器信息熵可描述為:其中,pj為統(tǒng)計(jì)意義上異構(gòu)執(zhí)行體fj的出現(xiàn)概率。因此,異構(gòu)執(zhí)行體對(duì)外呈現(xiàn)不確定性的大小轉(zhuǎn)變?yōu)樾畔㈧氐拇笮?求解最大化對(duì)外呈現(xiàn)不確定性問題變?yōu)榍蠼庾畲蠡畔㈧?
由信息論相關(guān)知識(shí)可知,由M個(gè)異構(gòu)執(zhí)行體構(gòu)成的變換器,當(dāng)每個(gè)異構(gòu)執(zhí)行體出現(xiàn)的概率均相等且等于時(shí),達(dá) 到 最 大 值,即,
因而,從異構(gòu)執(zhí)行體個(gè)數(shù)M越大,變換器信息熵越大,對(duì)外呈現(xiàn)的不確定性越大; 此外,當(dāng)且僅當(dāng)每個(gè)控制器出現(xiàn)的概率相同時(shí)(前提是每個(gè)控制器必須保證完全異構(gòu)),系統(tǒng)的不確定性最大,在設(shè)計(jì)實(shí)際的調(diào)度器應(yīng)依據(jù)這一原則。
3.3.4 判決器
判決器對(duì)執(zhí)行體集合Φt的運(yùn)行結(jié)果進(jìn)行裁決,并反饋到變換器X,變換器觸發(fā)系統(tǒng)重構(gòu)對(duì)異構(gòu)體進(jìn)行清洗。在入侵容忍系統(tǒng)中,學(xué)者們對(duì)判決器的判決原則進(jìn)行了大量的研究,本文不再贅述,重點(diǎn)給出一種基于執(zhí)行體可信度的判決原則WTA(Weighted trustiness based Arbitrament),具體如下: 在系統(tǒng)運(yùn)行開始,根據(jù)歷史經(jīng)驗(yàn)(執(zhí)行體已暴露的漏洞和后門數(shù)量),以及異構(gòu)執(zhí)行體硬件架構(gòu)、運(yùn)行環(huán)境和來源(自主設(shè)計(jì)、外部供給)等賦予可信度權(quán)值; 若時(shí)刻t有2l+1個(gè)執(zhí)行體運(yùn)行,首先將輸出結(jié)果一致的執(zhí)行體劃分為一個(gè)組Gk,便構(gòu)成了集合序列即
其次,計(jì)算每個(gè)集合Gk的置信度Wk:
最后,選取置信度最大的集合作為輸出結(jié)果,如下式所示,同時(shí)發(fā)現(xiàn)異常的執(zhí)行體。此外,在每次擬態(tài)變換時(shí),系統(tǒng)根據(jù)該周期內(nèi)執(zhí)行表現(xiàn)更新異構(gòu)執(zhí)行體的置信度。需要說明的是,若存在兩個(gè)集合Gi和Gj的置信度相同,即,,則隨機(jī)選擇一個(gè)集合作為結(jié)果輸出的參考集合。
可以看出,攻擊者若想攻擊成功,必須使得判決器選擇錯(cuò)誤的輸出集合,即,錯(cuò)誤結(jié)果對(duì)應(yīng)的集合的置信度最大,這也是擬態(tài)防御機(jī)制失效的條件,本文后續(xù)會(huì)詳細(xì)討論。
3.4 通用模型
上面探討了單個(gè)元功能的擬態(tài)防御模型,實(shí)際的信息系統(tǒng)通常是分層分級(jí)的,如典型的信息系統(tǒng)由硬件層、操作系統(tǒng)層、應(yīng)用層等組成; 而網(wǎng)絡(luò)結(jié)構(gòu)同樣也是分層分級(jí)的。為實(shí)現(xiàn)攻擊目的,攻擊者需要經(jīng)歷多個(gè)中間節(jié)點(diǎn)?;诖颂匦?下面探討信息系統(tǒng)或網(wǎng)絡(luò)的多級(jí)擬態(tài)防護(hù)鏈模型。假設(shè)攻擊者到達(dá)元功能FN之前需攻擊N-1個(gè)元功能,本文將攻擊者達(dá)到攻擊目標(biāo)所經(jīng)歷的N個(gè)元功能所構(gòu)成的序列稱為防護(hù)鏈,用表示。
定理1: 由N個(gè)元功能構(gòu)成的防御鏈H,當(dāng)且僅當(dāng)元功能變換器兩兩相互獨(dú)立時(shí),H獲得最大信息熵,且,其中,Mi為第i個(gè)元功能的執(zhí)行體數(shù)。
證明: 首先證明N=2的情況,假設(shè)元功能F1和F2的變換器X1和X2有關(guān)聯(lián),異構(gòu)執(zhí)行體集合分別為的,對(duì)應(yīng)的概率分布函數(shù)分別為和,相關(guān)性用條件概率描述,則
4.1 若干定義
為便于后續(xù)分析,首先給出與理論分析相關(guān)的如下若干定義。
定義1: 攻擊能力用攻擊者攻擊成功的概率密度函數(shù)來描述,記為υ(t),則攻擊者在t時(shí)間內(nèi)攻擊成功的概率記為。若攻擊者對(duì)同一目標(biāo)依次發(fā)起了n次攻擊,每次攻擊的持續(xù)時(shí)長(zhǎng)均為t,攻擊成功的概率分別為,若,且與時(shí)間無(wú)關(guān),則稱攻擊者的攻擊能力是無(wú)記憶的,否則,為有記憶的; 若在任意的攻擊周期內(nèi),和時(shí)間無(wú)關(guān),即,則稱攻擊者攻擊能力是非時(shí)變的,否則為時(shí)變的。
從物理意義上講,υ(t)描述了攻擊成功概率的變化速率,即單位時(shí)間內(nèi)攻擊成功概率的分布,本文選取“凸”型概率密度函數(shù)來刻畫攻擊者的攻擊能力,即,
其中,λ均為常量。
在該概率密度函數(shù)下,攻擊者在開始的一段時(shí)間內(nèi)攻擊能力迅速積累,但隨著時(shí)間的增長(zhǎng),攻擊能力增長(zhǎng)變緩,但成功概率逼近于1,如圖5所示。
圖5 “凸”型概率密度函數(shù)
定義2: 攻擊成功對(duì)于非相似性余度系統(tǒng),若不考慮非攻擊因素導(dǎo)致的執(zhí)行體失效問題,“攻擊者攻擊成功”等價(jià)于“判決器判決法則失效”。根據(jù)“3.3.4”中所述,“判決器判決法則失效”等價(jià)于“輸出一致錯(cuò)誤的執(zhí)行體個(gè)數(shù)大于輸出一致正確的執(zhí)行體個(gè)數(shù)”,即:
通常,由于各異構(gòu)執(zhí)行體漏洞和后門的差異性(采用了不同硬件平臺(tái)、不同開發(fā)工具、不同操作系統(tǒng)、不同數(shù)據(jù)結(jié)構(gòu)和算法等因素),即使攻擊者成功入侵了不同的異構(gòu)執(zhí)行體,尚若沒有使各執(zhí)行體產(chǎn)生一致的錯(cuò)誤輸出,從判決器判決的角度來看,依舊攻擊不成功,即:
定義3: 安全增益對(duì)于防御者而言,攻擊者攻擊不成功的概率反映了其安全性能,因此,本文用在采用和不采用動(dòng)態(tài)非相似性余度模型下,攻擊者攻擊不成功的概率的比值來刻畫安全增益,若攻擊者對(duì)應(yīng)的攻擊成功的概率分別記為p′和p,則安全增益Δ定義為:
定義4: 收益投資比由于采用動(dòng)態(tài)非相似性余度模型時(shí)需要多個(gè)異構(gòu)體并行執(zhí)行元功能,并隨著時(shí)間的推移需要對(duì)異構(gòu)執(zhí)行體動(dòng)態(tài)調(diào)度,因此,系統(tǒng)資源開銷要大于不采用動(dòng)態(tài)非相似性余度模型的系統(tǒng),分別用R和R′代表前后系統(tǒng)資源代價(jià),則收益投資W定義為:
本節(jié)對(duì)從安全增益和投資收益比兩個(gè)方面對(duì)擬態(tài)防御架構(gòu)的安全性進(jìn)行分析。為便于分析,首先給出如下的定義和假設(shè)條件。
4.2 假設(shè)條件
假設(shè)1:攻擊者預(yù)先不知道被攻擊節(jié)點(diǎn)的擬態(tài)變換算法X,同樣不知道異構(gòu)執(zhí)行體的實(shí)現(xiàn)結(jié)構(gòu)Λ和實(shí)現(xiàn)算法φ,必須在攻擊過程中通過探測(cè)才能獲取。
假設(shè)2:為便于分析,假設(shè)攻擊者的攻擊是無(wú)記憶的,即,若攻擊者在相同條件下先后針對(duì)F獨(dú)立發(fā)起了 n次攻擊,每次持續(xù)時(shí)長(zhǎng)為 t,攻擊成功的概率密度為υ(t ),第i次攻擊成功的概率為,那么滿足:
假設(shè)3:為便于分析,假設(shè)攻擊者對(duì)相同元功能的異構(gòu)執(zhí)行體攻擊成功的概率密度函數(shù)均相同,即對(duì)于
假設(shè)4:同樣為便于分析,假設(shè)判決器采用了大數(shù)判決原則,即每個(gè)異構(gòu)執(zhí)行體的可信度權(quán)值滿足:且任意時(shí)刻有2 l+ 1個(gè)異構(gòu)執(zhí)行體運(yùn)行。
4.3 場(chǎng)景設(shè)定
本節(jié)嘗試系統(tǒng)在采用動(dòng)態(tài)非相似余度模型下,量化其安全增益和收益投資比,并嘗試給出動(dòng)態(tài)非相似余度理論模型的性能界。為便于對(duì)比,假設(shè)除設(shè)定的防御機(jī)制外,被保護(hù)系統(tǒng)沒有采取其他的安全措施,如入侵檢測(cè)、防火墻等。本文分析單節(jié)點(diǎn)情形,在該情形下,假設(shè)攻擊者攻擊成功的概率密度函數(shù)是時(shí)變的,被攻擊執(zhí)行體的攻擊狀態(tài)是不可累積的,且執(zhí)行體在擬態(tài)變換時(shí)執(zhí)行清洗,攻擊者必須在周期T內(nèi)攻擊成功l+1個(gè)執(zhí)行體才能攻擊成功。
4.4 評(píng)估模型
假設(shè)攻擊者同一時(shí)刻只能攻擊一個(gè)異構(gòu)執(zhí)行體,在任意攻擊周期T內(nèi),隨機(jī)從2 l+ 1個(gè)異構(gòu)執(zhí)行體中選取 l+ 1個(gè)作為攻擊對(duì)象,該 l +1執(zhí)行體被攻擊成功的密度函數(shù)分別為,被攻擊成功所需時(shí)間分別為,則在t時(shí)間內(nèi)被攻擊成功的概率為:
用 F1( t)表示在一個(gè)擬態(tài)變換周期T內(nèi)攻擊成功的概率分布,則需考慮從 M個(gè)異構(gòu)執(zhí)行體集合中選取(l+1)個(gè)執(zhí)行體的所有組合情況,則,
若每一個(gè)異構(gòu)執(zhí)行體被攻擊成功的概率密度函數(shù)均為υ ( t),則,
本節(jié)基于第 4節(jié)的分析結(jié)果,給出在“I)單節(jié)點(diǎn)模型和 II)防護(hù)鏈模型”兩場(chǎng)景下擬態(tài)防御的安全性能的數(shù)值解。試驗(yàn)環(huán)境采用的是Lenovo ThinkCentre工作站,處理器為i7-4700@3.60GHz,內(nèi)存為8.0GB,操作系統(tǒng)為 Windows7 64位版本,編程環(huán)境為Matlab2013b。從4.4節(jié)可以看出,攻擊者在時(shí)間t內(nèi)攻擊成功的概率和異構(gòu)執(zhí)行體的個(gè)數(shù) M、在線運(yùn)行的執(zhí)行體個(gè)數(shù)2l+1、擬態(tài)變換周期T和攻擊者的概率密度函數(shù)有關(guān)。試驗(yàn)過程如下: 首先計(jì)算在T取固定值,l取不同值時(shí)系統(tǒng)的防御性能; 其次,計(jì)算在l取固定值,T取不同值時(shí)系統(tǒng)的防御性能。
圖7.(a)、7.(b)和 7.(c)分別給出了攻擊成功概率密度函數(shù)為指數(shù)函數(shù)(取λ=0.5)、擬態(tài)變換周期 T=2、l=1、2、3時(shí),系統(tǒng)的防御性能、安全增益和收益投資比隨l的變化曲線??梢钥闯?防御性能以及安全增益隨異構(gòu)執(zhí)行體的個(gè)數(shù)增加而增加,這與預(yù)期結(jié)果一致; 然而收益投資比則不一定,如l=3時(shí)的收益投資比高于l=1,卻低于l=2時(shí)。
圖8.(a)、8.(b)和 8.(c)分別給出了攻擊成功概率密度函數(shù)為指數(shù)函數(shù)(取λ=0.5),l分別為1、2、3,T的取值為1,2,3對(duì)系統(tǒng)的防御性能的影響。從圖中可以看出,T取值越小,則系統(tǒng)防御性能越好; 從該圖也可以看出,系統(tǒng)防御性能隨l增加而增加。
可以看出,擬態(tài)防御的實(shí)施前提是所保護(hù)的元功能必須具有輸出,即對(duì)于相同的輸入,必須產(chǎn)生一致的可預(yù)測(cè)的輸出結(jié)果,這樣多個(gè)異構(gòu)執(zhí)行體的執(zhí)行結(jié)果才能進(jìn)行比較,以判決被保護(hù)的元功能是非被攻擊,對(duì)于沒有一致的輸出結(jié)果的元功能,無(wú)法應(yīng)用擬態(tài)防御思想; 另外,擬態(tài)防御無(wú)法應(yīng)對(duì)針對(duì)資源有限性發(fā)起的攻擊,如 DDoS(Distributed Denial of Service)等,這類攻擊本質(zhì)上關(guān)注的不是致使被攻擊系統(tǒng)產(chǎn)生錯(cuò)誤的輸出,而是使系統(tǒng)資源耗盡,無(wú)法對(duì)外提供服務(wù); 此外,擬態(tài)防御也無(wú)法保護(hù)協(xié)議規(guī)程本身存在的缺陷,如針對(duì)BGP路由協(xié)議的中間人劫持攻擊,因?yàn)樵擃惞衾昧薆GP協(xié)議本身的設(shè)計(jì)缺陷,所有基于該協(xié)議實(shí)現(xiàn)的異構(gòu)執(zhí)行體均存在相同脆弱性。
圖6 防御性能、安全增益和收益投資比隨l變化曲線
圖7 防御性能隨l和變換周期T的變化曲線
本文針對(duì)現(xiàn)有防御技術(shù)無(wú)法應(yīng)對(duì)未知特征和未知缺陷的攻擊,提出了一種理想的防御機(jī)制,稱為擬態(tài)防御,或動(dòng)態(tài)非相似余度(DHR: Dynamical Heterogeneous Redundant)。DHR標(biāo)準(zhǔn)框架主要由異構(gòu)執(zhí)行體集合、分發(fā)器、擬態(tài)變換器和判決器組成,主要思路是針對(duì)保護(hù)的元功能構(gòu)造多個(gè)功能等價(jià)的異構(gòu)執(zhí)行體,利用擬態(tài)變換器動(dòng)態(tài)調(diào)度在線的異構(gòu)執(zhí)行體,使異構(gòu)執(zhí)行體對(duì)外呈現(xiàn)線上/線下的動(dòng)態(tài)切換,從而使異構(gòu)執(zhí)行體的后門和漏洞難以利用,達(dá)到阻斷攻擊者的攻擊過程的目的; 同時(shí)依托判決器,實(shí)現(xiàn)在攻擊發(fā)生時(shí),能夠發(fā)現(xiàn)未知攻擊。
本文首先介紹了網(wǎng)絡(luò)空間擬態(tài)防御DHR的基本模型,并在基本模型的基礎(chǔ)上推廣到一般的信息系統(tǒng)或網(wǎng)絡(luò),構(gòu)建了具有N個(gè)節(jié)點(diǎn)的防護(hù)鏈模型,并分為四種場(chǎng)景對(duì)基本模型和防護(hù)鏈模型的效果進(jìn)行了理論推導(dǎo),針對(duì)攻防過程的復(fù)雜性,難以得出解析解,因此,在理論推導(dǎo)的基礎(chǔ)上給出了特定參數(shù)下的數(shù)值解。理論和實(shí)踐結(jié)果均表明,在一定程度上增大系統(tǒng)資源開銷的條件下,擬態(tài)防御能夠顯著提升被保護(hù)系統(tǒng)的安全性,具備兩個(gè)顯著的優(yōu)點(diǎn): 1)無(wú)需漏洞和后門特征就可以防護(hù); 2)系統(tǒng)具備內(nèi)置的發(fā)現(xiàn)攻擊的能力; 3)可以基于不安全的異構(gòu)執(zhí)行體構(gòu)建安全的信息系統(tǒng)。
當(dāng)然,本文著重介紹擬態(tài)防御的基本思想,無(wú)論在理論研究還是工程實(shí)踐上都有大量工作需要進(jìn)一步研究,包括: 如何評(píng)估異構(gòu)執(zhí)行體之間的相異性、如何在獲得安全性的同時(shí)不降低系統(tǒng)的性能,以及如何在現(xiàn)有系統(tǒng)中導(dǎo)入擬態(tài)防御等。
致 謝
本文工作受到中國(guó)博士后基金項(xiàng)目(No.44603)、國(guó)家自然科學(xué)基金項(xiàng)目(No.61309020)、國(guó)家自然科學(xué)基金創(chuàng)新研究群體項(xiàng)目(No.61521003)和國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(Nos. 2016YFB0800100,2016YFB0800101)。網(wǎng)絡(luò)空間擬態(tài)防御由信息工程大學(xué)鄔江興教授于2013年提出,本文的相關(guān)工作是在鄔江興教授相關(guān)工作的基礎(chǔ)上完成的。
[1] National Science and Technology Council,Federal Cybersecurity Research and Development Strategic Plan,Feb.,2016.
[2] National Science and Technology Council,Trustworthy Cyberspace: Strategic Plan for The Federal Cybersecurity Research and Development Program,Dec.,2011.
[3] National Institute of Standards and Technology,Guide to Intrusion Detection and Prevention Systems (IDPS),Feb.,2007.
[4] L. Spitzner. Honeypots: catching the insider threat,Computer Security Applications Conference,IEEE,2003,pp.170 – 179.
[5] Suman Jana; Donald E. Porter; Vitaly Shmatikov,TxBox: Building Secure,Efficient Sandboxes with System Transactions,2011 IEEE Symposium on Security and Privacy, Date 22-25 May 2011,pp. 329-344.
[6] Feiyi Wang; F. Jou; Fengmin Gong; C. Sargor; K. Goseva-Popstojanova; K. Trivedi,SITAR: A Scalable Intrusion-tolerant Architecture for Distributed Services,Foundations of Intrusion Tolerant Systems,2003,pp. 359-367.
[7] Dunlop M,Groat S,Urbanski W,et al. Mt6d: A moving target ipv6 defense[C]//Military Communications Conference,2011-Milcom 2011. IEEE,2011: 1321-1326.
[8] Jafarian J H,Al-Shaer E,Duan Q. Openflow random host mutation: transparent moving target defense using software defined networking[C]//Proceedings of the first workshop on Hot topics in software defined networks. ACM,2012: 127-132.
[9] Jafarian J H,Al-Shaer E,Duan Q. An Effective Address Mutation Approach for Disrupting Reconnaissance Attacks[J]. Information Forensics and Security,IEEE Transactions on,2015,10(12): 2562-2577.
[10] Jafarian J H,Al-Shaer E,Duan Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]//Computer Communications (INFOCOM),2015 IEEE Conference on. IEEE,2015: 738-746.
[11] Luo Y B,Wang B S,Cai G L. Effectiveness of Port Hopping as a Moving Target Defense[C]//Security Technology (SecTech),2014 7th International Conference on. IEEE,2014: 7-10.
[12] E. Al-Shaer,W. Marrero,A. El-Atway and K. AlBadani,Network Configuration in a Box: Towards End-to-End Verification of Network Reachability and Security,In Proceedings of 17th International Conference on Network Communications and Protocol (ICNP’09),pp. 123-132,Princeton,2009.
[13] Portner J,Kerr J,Chu B. Moving Target Defense Against Cross-Site Scripting Attacks (Position Paper)[M]//Foundations and Practice of Security. Springer International Publishing,2014: 85-91.
[14] Hovav Shacham,Matthew Page,Ben Pfaff,Eu-Jin Goh,Nagendra Modadugu,and Dan Boneh. On the effectiveness of address-space randomization. In ACM Conference on Computer and Communications Security (CCS),CCS ’04,pages 298–307,New York,NY,USA,2004. ACM.
[15] Stephen W. Boyd,Gaurav S. Kc,Michael E. Locasto,Angelos D. Keromytis,and Vassilis Prevelakis. On The General Applicability of Instruction-Set Randomization. IEEE Transactions on Dependable and Secure Computing,7(3),2010.
[16] Anh Nguyen-Tuong,David Evans,John C. Knight,Benjamin Cox,and Jack W. Davidson. Security through Redundant Data Diversity. In IEEE/IFPF International Conference on Dependable Systems and Networks,June 2008.
[17] Azab M,Eltoweissy M. ChameleonSoft: Software behavior encryption for moving target defense[J]. Mobile Networks and Applications,2013,18(2): 271-292.
[18] Pratyusa K. Manadhata and Jeannette M. Wing. An attack surface metric. IEEE Transactions on Software Engineering,99(PrePrints),2011,Volume: 37,Issue: 3,Pages: 371 – 386.
[19] Zhuang R,DeLoach S A,Ou X. A model for analyzing the effect of moving target defenses on enterprise networks[C]//Proceedings of the 9th Annual Cyber and Information Security Research Conference. ACM,2014: 73-76.
[20] Zhuang R,DeLoach S A,Ou X. Towards a Theory of Moving Target Defense[C]//Proceedings of the First ACM Workshop on Moving Target Defense. ACM,2014: 31-40.
[21] Rui Zhuang,Alexandru G. Bardas,Scott A. DeLoach,Xinming Ou. A Theory of Cyber Attacks[C]//Proceedings of the Second ACM Workshop on Moving Target Defense. ACM,2015.
[22] Carter K M,Riordan J F,Okhravi H. A Game Theoretic Approach to Strategy Determination for Dynamic Platform Defenses[C]//Proceedings of the First ACM Workshop on Moving Target Defense. ACM,2014: 21-30.
[23] Prakash A,Wellman M P. Empirical Game-Theoretic Analysis for Moving Target Defense[C]//Proceedings of the Second ACM Workshop on Moving Target Defense. ACM,2015: 57-65.
[24] Jin B. Hong,Dong Seong Kim. Assessing the effectiveness of moving target defenses using security models[J]//Dependable and Secure Computing,IEEE Transactions on,2015,10(11): 1545-5971.
[25] Cyber Cybenko G,Hughes J. No free lunch in cyber security[C]//Proceedings of the First ACM Workshop on Moving Target Defense. ACM,2014: 1-12.
[26] Yujuan Han,Wenlian Lu,Shouhuai Xu. Characterizing the Power of Moving Target Defense via Cyber Epidemic Dynamics,Hot-SoS’14,Proceedings of the 2014 Symposium and Bootcamp on the Science of Security,April 08 - 09 2014,Raleigh,NC,USA.
[27] G. Kc,A. Keromytis,and V. Prevelakis. Countering code-injection attacks with instruction-set randomization. In Proc. ACM CCS’03
[28] E. Barrantes,D. Ackley,T. Palmer,D. Stefanovic,and D. Zovi. Randomized instruction set emulation to disrupt binary code injection attacks. In Proc. ACM CCS’03,pp 281–289.
[29] F. Cohen. Operating system protection through program evolution. Comput. Secur.,12(6):565–584,October 1993
[30] S. Forrest,A. Somayaji,and D. Ackley. Building diverse computer systems. In Proc. HotOS-VI.
[31] C. Giuffrida,A. Kuijsten,and A. Tanenbaum. Enhanced operating system security through efficient and fine-grained address space randomization. In Proc. USENIX Security’12
[32] A. Homescu,S. Brunthaler,P. Larsen,and M. Franz. Librando: transparent code randomization for just-in-time compilers. In Proc. ACM CCS’13
[33] T. Jackson,B. Salamat,A. Homescu,K. Manivannan,G. Wagner,A. Gal,S. Brunthaler,C. Wimmer,and M. Franz. Diversifying the Software Stack Using Randomized NOP Insertion In S. Jajodia,A. Ghosh,V. Swarup,C. Wang,and X. Wang,editors,Moving Target Defense,pages 77–98.
[34] V. Kiriansky,D. Bruening,and S. Amarasinghe. Secure execution via program shepherding. In Proc. USENIX Security’02.
[35] C. Luk,R. Cohn,R. Muth,H. Patil,A. Klauser,G. Lowney,S. Wallace,V. Reddi,and K. Hazelwood. Pin: Building customized program analysis tools with dynamic instrumentation. In Proc. PLDI’05.
[36] N. Nethercote and J. Seward. Valgrind: A framework for heavyweight dynamic binary instrumentation. In PLDI’07.
[37] V. Pappas,M. Polychronakis,and A. Keromytis. Smashing the gadgets: Hindering return-oriented programming using in-place code randomization. In IEEE Symposium on Security and Privacy’12.
[38] R. Wartell,V. Mohan,K. Hamlen,and Z. Lin. Binary stirring: Self-randomizing instruction addresses of legacy x86 binary code. In ACM CCS’12.
[39] The PaX Team. http://pax.grsecurity.net/docs/aslr.txt.
[40] S. Bhatkar,D. DuVarney,and R. Sekar. Address obfuscation: An efficient approach to combat a board range of memory error exploits. In USENIX Security Symposium,2003.
[41] A. Avizienis. The n-version approach to fault-tolerant software. IEEE TSE,(12): 1491–1501,1985.
[42] Y. Desmedt and Y. Frankel. Threshold cryptosystems. In CRYPTO’89,pages 307–315.
[43] A. Shamir. How to share a secret? CACM,22:612–613,1979.
[44] Fida Gillani,Ehab Al-Shaer,Samantha Lo,etc.,Agile Virtualized Infrastructure to Proactively Defend Against Cyber Attacks[C]//INFOCOM 2015,ACM,2015.
[45] Vikram S,Yang C,Gu G. Nomad: Towards non-intrusive moving-target defense against web bots[C]//Communications and Network Security (CNS),2013 IEEE Conference on. IEEE,2013: 55-63.
[46] Peng W,Li F,Huang C T,et al. A moving-target defense strategy for Cloud-based services with heterogeneous and dynamic attack surfaces[C]//Communications (ICC),2014 IEEE International Conference on. IEEE,2014: 804-809.
[47] Design Considerations in Boeing 777 Fly-By-Wire Computers,Y. C. (Bob) Yeh,Boeing Commercial Airplane Group.
[48] Triple-Triple Redundant 777 Primary Flight Computer,Y. C. (Bob) Yeh.
[49] Stefano Vissicchio,Luca Cittadini,Olivier Bonaventure,Geoffrey G. Xie,Laurent Vanbever. On the Co-Existence of Distributed and Centralized Routing Control-Planes.
[50] Robert M. Gray. Entropy and Information Theory,Springer,2011.
[51] J. Moy. OSPF Version 2,RFC2328,https://tools.ietf.org/html/ rfc2328.
[52] ZTE. ZXR10 M6000-S Carrier-class Router. http://wwwen.zte. com.cn/en/products/ bearer/ data_communication/router_bmsg.
Performance Evaluations on DHR for Cyberspace Mimic Defense
HU Hongchao,CHEN Fucai,WANG Zhenpeng
National Digital Switching System Engineering & Technological R&D Center,Zhengzhou 450002,China
In recent years,both academia and industry have tried to develop innovative defense technologies,since existing defense technologies are difficult to deal with the attacks employing unknown security flaws or backdoors. Starting from analyzing the root causes of security problems in cyberspace,that is,1) security flaws (holes and the back doors) in information systems are universal; 2) current cyberspace elements are static and homogeneous,as a result,the security flaws can be widely adopted; 3) existing techniques are difficult to check and remove security flaws. Due to this,professor Wu Jiangxing proposed a novel defense framework,namely cyberspace mimic defense (CMD),to defense network attacks employing unknown security flaws by introducing dynamical dissimilarity redundancy mechanism (DHR: dynamical heterogeneous redundant). DHR constructs several functionally equivalent variants for the meta function to be protected,dynamically schedules several variants to run in parallel to block the attacking process. At the same time,it uses multimode decision mechanism to decide which outputs of the running variants are correct and whether attacks have occurred. This paper mainly focuses on the evaluation issue of DHR,and analyzes its performance with a theoretical model. Simulations results show that DHR can significantly improve the security performance of information systems.
Dynamical,heterogeneous and redundant; dynamical scheduling; heterogeneity; redundancy
扈紅超 于 2010年在信息工程大學(xué)信息與通信工程專業(yè)獲得博士學(xué)位?,F(xiàn)任國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心副研究員。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全防御、云安全、新型網(wǎng)絡(luò)體系結(jié)構(gòu)。Email: 13633833568@139.com
陳福才 于2002年在信息工程大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)獲得碩士學(xué)位。現(xiàn)任國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心研究員。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全防御、電信網(wǎng)安全、云安全等。Email: 13503827650@139.com
王禛鵬 于 2015年在武漢大學(xué)通信工程專業(yè)獲得學(xué)士學(xué)位?,F(xiàn)在國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心信息與通信工程專業(yè)攻讀碩士學(xué)位。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全防御。Email: whuwzp@foxmail.com
TN919.21 DOI號(hào) 10.19363/j.cnki.cn10-1380/tn.2016.04.004
扈紅超,博士,副研究員,Email:13633833568@139.com。
本課題得到中國(guó)博士后基金項(xiàng)目(No.44603)、國(guó)家自然科學(xué)基金項(xiàng)目(No.61309020)、國(guó)家自然科學(xué)基金創(chuàng)新研究群體項(xiàng)目(No.61521003)和國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(Nos.2016YFB0800100,2016YFB0800101)資助。
2016-09-13; 修改日期: 2016-09-23; 定稿日期: 2016-10-20